讓網絡變得“智·動”
【51CTO.com 綜合報道】云計算借助SaaS、PaaS、IaaS、等不同的商業模式把這強大的計算能力分布到終端用戶手中。
微軟新發布系列軟件產品,與原有產品相比較實現兩項大的改變:一是隨需接入,用戶可以通過電腦、手機、瀏覽器都可以使用傳統只能在電腦上面使用的產品;二是企業協作,可以多人同時處理一個文件,改變串行處理業務的工作方式等等:
雖然不能以偏概全,但是從這些有代表性的例子可以看出未來應用的發展趨勢。當企業的上層應用架構已經開始了固定終端向多樣化終端、固定空間向靈活空間、低效串行處理向高效實時并發處理的方式轉變的時候,網絡架構將如何搭建?網絡認證方式、接入方式、收斂性設計、實時性等應該如何考慮,現實的應用發展使得我們不得不進行深入的思考。
而物聯網、智慧地球等概念的提出,以及在電力、物流、安防等領域的應用,網絡的接入信息點不再僅僅是人,更向更寬泛的對象發展,傳感器、攝像頭、激光掃描器等都是未來網絡需要接入的對象。物聯網對網絡提出了新的要求:
對象標識:在IPv4地址資源已經枯竭的情況下,對于海量對象的接入,如何采用唯一標記進行標識?
應用互通:智能電網、物流定位等很多的單業務系統已經出現,然而物聯網的魅力在于能夠將不同的系統進行對接,產生更美妙的效果,如污染源監控系統和食品安全系統對接等。這就必然導致了異構網絡融合、系統隔離和互通、應用的前端處理等諸多問題的產生,自然對網絡架構提出了新的需求。
綜合上述兩個方面可以看出,無論是無邊界隨需而動的云計算網絡,還是將接入對象由人向物發展的物聯網,都對傳統的網絡架構提出了太多挑戰。
一、 傳統網絡架構的弊端
空間局限:傳統的網絡架構很多情況都是基于特定的人處于在特定的空間、采用固定的設備等前提進行的設計,選用的技術很少考慮到人的移動性,甚至基于安全考慮采用了綁定等技術手段,雖然在一定程度上解決了一些問題,但是卻是以喪失靈活性為代價,反而失去了業務的擴展能力。
結構復雜:傳統的網絡架構越來越復雜,低端小巧的接入層、高密可處理業務的匯聚層、超萬兆的核心層,每個層面都有存在的價值?,F有的網絡架構事無巨細的將細節暴露在上層應用面前。很多的應用部署由于網絡不能很好的屏蔽技術細節而增加難度甚至難于實施。
缺乏統一性:隨著接入方式和接入對象的不同,安全、無線接入等各種個性化的需求越來越多,然而新需求尚未被完全的融合到網絡中去,產生了諸多割裂的問題。
業務的開展最希望能夠無視底層基礎設施的差異,以松耦合的方式進行部署實施,如何使得網絡的接入方式、流量規劃、高可用設計、安全策略等對于業務來說像空氣般透明,使得園區網絡真正成為可進行業務彈性擴展的承載平臺,是現在和未來園區網設計的主要出發點。
因此,當前對新方案的根本目標在于讓網絡更簡單,更透明,這種簡單不僅是網絡架構簡單,而且在新業務支持、組織架構調整等整體運維過程體現簡單;這種透明也不僅是指網絡協議少用,而且希望能夠有效的簡化網絡結構,屏蔽底層差異性。
基于這種考慮,在園區網絡中部署全虛擬化和多業務承載的技術方案成為2.0的焦點。虛擬化體現在對于網絡的橫向整合和縱向隔離,希冀將網絡成為一個可池化的資源;多業務承載體現在對于用戶使用可以屏蔽接入空間、手段、安全需求等個性化的網絡差異,希冀將網絡對于用戶的接口更為簡單,提高用戶體驗。#p#
二、 虛擬園區網2.0方案相對于1.0的重點提升
虛擬園區網1.0解決方案適應于企業應用架構需求,解決了傳統網絡架構下空間局限的問題,任何人以任何方式均可無縫的接入園區網絡。部分實現了企業園區網的動態接入,然而在園區網絡的網絡、安全等資源的動態調度,簡化網絡結構,統一部署等多方面還有相當的不足。
2.0解決方案在1.0方案的基礎上,除了進行縱向隔離的虛擬化部署外,更采用橫向整合的虛擬化技術,達到簡化網絡、靈活擴展的目的,并通過虛擬化技術使得各種模塊化產品逐步成為虛擬組內可共享的資源,達到模塊化向資源化的進一步過渡。
1. 橫向整合以簡化網絡
簡化網絡可以從兩個層面進行分析:簡化園區網絡拓撲和簡化園區網絡協議部署。
◆簡化園區網絡拓撲
圖1 傳統園區結構
如圖1所示,這種經典的園區網設計將網絡按接入、匯聚、核心規劃成多層結構:為便于用戶的擴展,一般將接入層網絡設計為二層接入,并將用戶端的三層網關設置在匯聚層設備上;同時為保證網關的HA能力,匯聚層采用雙節點冗余組網;核心層也采用雙節點組網以提升性能和冗余能力。
然而這種傳統的園區網絡結構漸漸難以滿足新服務的要求:二層接入的網絡導致接入層與匯聚層網絡之間產生多環路,形成環網,企業IT業務的不斷調整將環網規模擴大或復雜化;部分網絡為降低復雜度,消除了環路,卻因此帶來了單鏈路、單點接入的低可用性。因此,迫切需要在保證多業務、靈活性、可靠性、簡易性、擴展性的前提下,消除環路、簡化網絡拓撲。
虛擬園區網解決方案2.0通過將IRF2技術引入園區網絡方案中,解決了上述問題。
圖2 端到端的企業網絡IRF2架構
如圖2所示,在企業園區網絡架構中,使用IRF2技術分別在網絡匯聚與核心層各自進行橫向整合,將多臺冗余設備虛擬化為單臺邏輯設備,形成一個網絡管理與轉發節點;在網絡接入層復雜的接入環境中實行IRF2整合,將多達9個的物理網絡節點虛擬化為單臺設備,完全消除接入層環路,并形成捆綁鏈路的高帶寬和可靠性上聯。在這樣的虛擬化下,網狀的企業園區網絡形成了一個非常簡潔的架構,網絡各層之間通過捆綁的單邏輯鏈路互聯,消除了環路。不再需要在接入層設計復雜的生成樹協議,也不再需要在變成單一邏輯節點的客戶端接入網關上運行VRRP協議。
端到端IRF2部署使園區網絡形成了無環、樹狀、輻射型的網絡拓撲結構,極大簡化了運行維護管理工作。網絡中數據流的宏觀路徑上與簡化后的整體網絡拓撲具有一致性,業務流在網絡中的走向清晰明確。同時,每個IRF2節點本身的擴展(如增加該節點設備)既不會改變企業網絡的邏輯結構,也不會影響上下層網絡的協議交互。這種虛擬化網絡展現出優化的整體架構。
◆簡化園區網絡協議部署
通過消除網絡中接入、匯聚的網絡環路,將環狀網絡轉變成樹形網絡,網狀的企業園區網絡形成了一個非常簡潔的架構,網絡各層之間通過捆綁的單邏輯鏈路互聯,消除了環路。不再需要在接入層設計復雜的生成樹協議,也不再需要在變成單一邏輯節點的客戶端接入網關上運行VRRP協議。這是協議簡化的一方面。
圖3 IRF2結構下園區路由區域簡化設計
另一方面,當傳統園區的規模發展到一定程度,網絡各部分均會形成網狀網絡結構,因此整網路由按區域劃分進行設計。以OSPF為例,一般將網絡核心和關鍵網絡組件設置于area 0,而將網絡子模塊設置于area 1、2、3等區域。采用IRF2進行端到端虛擬化后,網絡結構更加清晰,整網路由結構也相應得到簡化。如圖3所示,區域性的路由因為邏輯鏈路簡化而形成了點到點、點到多點的簡單結構,與網絡設備相關的路由數量大幅減少,整網的路由計算量也大幅下降。同時,網絡層之間的鏈路捆綁避免了單條物理鏈路故障時對上層路由的影響,使得端到端IRF2網絡架構上形成了一個穩定的簡化路由結構,網絡規模的擴大并不會增加路由復雜性,這種路由結構不僅簡化了網絡路由設計、降低了設備要求、減輕設備負載,并且有助于企業網絡長期規劃和模塊化擴展。
綜上所述,通過采用橫向整合的技術,既簡化了協議部署,又保證網絡的二層擴展,不會影響網絡的邏輯拓撲和路由情況。使得對于網絡的管理可以屏蔽二層的擴展,更好滿足了園區網絡的簡化部署、低成本維護和自由擴展的需求。
2. 橫向整合的靈活擴展
擴展性在網絡接入層設計上一般具有較大難度。由于組織結構的發展,使得企業對IT基礎相應快速發展的需求。在大規模模塊化網絡的擴展方式上,傳統核心網絡結構已經能夠很好的支持,但在接入層常常會面臨難以充分滿足擴展性要求的難題,因為接入層網絡拓撲復雜(其通常是二層接入方式),設備與端口的擴展會使網絡結構進一步復雜化。
針對用戶終端數量大規模增長,IRF2相關的應對方案是:在接入層的IRF2系統中增加成員進行端口擴展,以滿足不斷增長的接入端口數要求。擴展后的系統對網絡其它部分并不產生影響,形成了平滑的擴展能力,而對上行帶寬有更高要求的業務,可以通過增加IRF2系統的上行聚合鏈路成員數量來平滑升級帶寬。
3. 多業務承載
部署了IRF2的接入環境可以提供豐富的網絡服務設計,以對業務部署提供更好的支持。IRF2架構下的設備都支持H3C EAD端點準入安全解決方案,提供企業園區全面安全接入能力,通過基于身份的網絡準入和動態策略下發,解決園區內移動辦公應用的問題;PoE功能已經成為接入交換機的基本功能,同時隨著新技術標準的不斷推出,后續IRF2下將支持中、高功率的PoE標準,從而可提供企業網絡有供電要求的各類新業務需求,如視頻瘦終端(如PoE受電的終端)、視頻電話、語音電話、無線接入AP等;集成的Voice VLAN功能為部署IRF2接入的IP語音提供了便利。
同時,通過MPLS VPN的部署,解決了多網融合,共用同一張物理網絡的環境下IP地址重疊的問題,并為各種應用搭建了端到端的業務通道,并通過IRF2的部署,避免了雙PE(MPLS VPN中的概念)情況下CE雙上行規劃的問題;組播VPN等網絡服務的部署解決了監控業務在園區網絡中融合組網和后續OA互通等問題……
凡此種種,都說明全虛擬化的虛擬園區網2.0解決方案通過IRF2的橫向整合和VPN的縱向隔離技術,在園區網絡向交換資源化的發展過程中,通過VPN、安全、無線、組播、語音等多種網絡服務的不斷遞進,形成了對于OA、多媒體業務、監控網絡、跨部門協作甚至于可控物聯等業務進行良好支撐的園區網絡架構。#p#
三、 虛擬園區網的整體部署
圖4 虛擬園區網的整體部署
整合橫向虛擬化及縱向虛擬化技術后,虛擬園區網的整體部署情況如圖4所示,在接入層、匯聚層、核心層通過IRF2技術進行橫向整合,整合后,安全模塊通過板卡的形式靈活部署在匯聚層交換機,DC前端交換機及Internet出口前端的交換機上。
整網通過MPLS/VPN或MCE多跳技術進行路徑虛擬化,完成對網絡資源的隔離。
通過部署橫向虛擬化及縱向虛擬化技術完成了整體的虛擬園區網架構。#p#
四、 虛擬園區網最佳實踐
1. 政務行政中心最佳實踐
某市新行政中心園區,由幾十棟樓宇組成,建成后將有上百家局委辦入住,其網絡部分將會承載電子政務等各種應用。此園區的信息化建設不僅要求提供統一的平臺環境,而且需要以此為契機完成電子政務的整合與發展。
此次園區建設意義大、難度高,尤其在可靠性、擴展性方面需要著重考慮:
◆現網幾萬個信息點,整網幾百臺設備,管理、維護難度大。
◆出于可靠性考慮,全網冗余部署,造成網絡環路繁多,需部署VRRP+MSTP避免廣播風暴。
◆無線、安全需求眾多,尤其是互聯網出口,需要重點進行安全考慮。
◆上百家局委辦的業務既有獨立業務需求,又有共享業務需求。在電子政務整合的發展過程中,網絡需要具備靈活性,需要適應業務的調整。
圖5 政務中心最佳實踐
通過虛擬園區網2.0的部署,滿足了客戶的需求:
◆全網橫向整合。通過核心、匯聚、接入的設備虛擬化,將網絡的管理和轉發節點降低到原來的六分之一,降低了管理和維護的難度。
◆提供無縫擴展能力。通過設備虛擬化,可以保證接入、匯聚、核心設備橫向擴展的時候,網絡邏輯拓撲不發生變化。達到了網絡的平滑擴展。
◆消除網絡環路。通過設備虛擬化,將全冗余網絡中的環路徹底消除,避免了VRRP+MSTP的協議部署。并提供了更高的收斂速度。
◆降低網絡中路由處理。通過設備虛擬化,降低了網絡設備路由鄰居的數量,進而降低現網路由數目為傳統方案的一半以下。
◆全網有線無線網絡一體化設計、網絡安全一體化設計、通過虛擬化環境下的模塊化部署,實現了網絡業務的資源化部署。
◆通過縱向隔離的MPLS VPN部署,既滿足了現有情況下的業務隔離和共享訪問的需求,同時也對未來的業務發展提供了很好的擴展性。
通過虛擬園區網2.0解決方案的部署,解決了某市行政中心的業務需求,并提供了與傳統網絡架構相比更透明的網絡架構,更易擴展的網絡方案。
2. 企業園區最佳實踐
某新建生產型廠區業務類型清晰,但是隨著業務的發展,對于新建園區的網絡架構提出諸多需求:
◆現網分為辦公、生產、監控等幾大類業務,需要進行業務隔離。
◆現網MIS系統需要監控網絡和辦公系統進行互通,所以需要業務上進行互通。
◆現網無線和安全需求明顯,需要整體考慮。
◆為保證可靠性,全網冗余部署,存在大量的網絡環路。
圖6 企業園區最佳實踐
通過虛擬園區網2.0解決方案進行方案部署,滿足了客戶網絡需求:
◆采用MPLS VPN進行網絡的縱向分割,保證了辦公、生產和監控業務的邏輯隔離。
◆通過共享VPN等技術,滿足辦公和監控業務的業務互訪。
◆整體設計有線和無線、網絡和安全,同通過管理平臺統一管理。
◆通過設備的橫向整合,消除了網絡環路,避免了VRRP+MSTP協議的部署,同時降低了網絡中路由數量,并提高了網絡收斂速度。
通過虛擬園區網2.0解決方案的部署,解決了企業園區內業務隔離和互訪的需求,并提供了邏輯架構穩定的網絡方案,滿足了業務現在和未來的網絡需求,為企業園區的信息化建設提供了良好的支撐。#p#
五、 結束語
園區虛擬化解決方案2.0作為下一代的企業園區網的建網思路,提供了一整套完整的實現虛擬化的方案。在設備層面整合了設備及鏈路資源,在邏輯層面整合了路徑及安全服務資源。這樣通過橫向虛擬化技術提升網絡的可管理性,可靠性及性能,通過縱向虛擬化技術實現了終端接入的安全和訪問權限控制、業務數據傳輸的安全隔離、應用資源的按需分配、集中的網絡管理和策略部署。
在企業IT業務變得更復雜,更重要的同時,作為承載關鍵業務的企業網需要對這些變化不斷適應,滿足企業業務發展的需要??梢灶A見通過進一步的整合及對企業網網絡資源的虛擬化,下一代的園區網將會更大程度的將成熟的技術通過虛擬化等技術屏蔽在底層,邏輯上更為簡化,將整個園區網整合為一個矩陣,其網絡資源、安全等服務資源都可動態劃分并邏輯隔離,通過這種方式提供更加強勁的業務承載能力,以不斷滿足企業IT發展的需求。